IPSec mô PHỎNG và PHÂN TÍCH ỨNG DỤNG IPSEC TRONG VPN

Từ đó các nhà khoa học đã nghiêm cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảoVPN Đảm bả

Nội dung của bài Trình bày

VPN (Virtual Private Network)

02

03

SỰ PHÁT TRIỂN MẠNH MẼ CỦA NỀN CÔNG NGHIỆP, NHU CẦU TRAO ĐỔI THÔNG TIN,

DỮ LIỆU GIỮA NHỮNG TỔ CHỨC, CÔNG

TY…

Internet đã bùng nổ

MỌI NGƯỜI SỬ DỤNG MÁY TÍNH KẾT NỐI INTERNET THÔNG QUA NHÀ CUNG CẤP DỊCH

VỤ (ISP – INTERNET SERVICE PROVIDE)

TCP/IP

VỚI INTERNET, NHỮNG DỊCH VỤ NHƯ MUA BÁN TRỰC TUYẾN, GIÁO DỤC TỪ XA, HAY TƯ VẤN

TRỰC TUYẾN…

ĐÃ TRỞ NÊN DỄ DÀNG

Tuy nhiên

Từ đó các nhà khoa học đã nghiêm cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng nhu cầu trên

mà vẫn tận dụng cơ sở hạ tầng đang có của

Internet, đó là mô hình mạng riêng ảo(VPN)

Đảm bảo an toàn, bảo mật dữ liệu hay quản

lý dịch vụ

KHÁI NIỆM

02

VPN – VIRTUAL PRIVATE NETWORK

Mạng riêng ảo là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với các chính sách quản lý và bảo mật giống

như mạng cục bộ

VPN là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do 1 nhà

cung cấp dịch vụ sở hữu

MÔ HÌNH MẠNG RIÊNG ẢO

Host A Router A Router B Host B

InternetĐường hầm IPSec

IP Header Data IP Header Data

New IPHeader

ESP Header

IPHeader Data

ESPAuthentication

ESPTrailerEncrypted

Authentication

Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm rất nhiều thứ:

• Truy cập vào mạng doanh nghiệp khi ở xa

• Truy cập mạng gia đình, dù không ở nhà

• Duyệt web ẩn danh

• Truy cập đến những website bị chặn giới hạn địa lý

• Tải tập tin

TÍNH NĂNG

TÍNH TOÀN VẸN

Đảm bảo dữ liệu không

bị thay đổi hay đảm bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền và trao đổi

ƯU ĐIỂM

Tiết kiệm chi phí

VPN có thể giúp các doanh

nghiệp tiết kiệm từ 50%-70%

chi phí đầu tư vào các kết nối

leased line và remote access

truyền thống, chi phí đầu tư

cho hạ tầng truyền thông và

chi phí hàng tháng đối với

các kết nối site to site

Tính mở rộng Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai thác

mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng

Khách hàng có thể sử dụng kết hợp với các công nghệ sẵn có và cơ sở hạ tầng mạng của doanh nghiệp trước đó

Mạng VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng Vì thế với bất kỳ doanh nghiệp nào có nhiều chi nhánh ở xa nhau mà muốn kết nối với nhau sử dụng công nghệ mạng riêng

ảo thì điều cần và đủ là các chi nhánh được kết nối tới mạng Internet

hệ thống mạng riêng ảo trong mạng nội bộ

& hiệu xuất

VPN dựa trên Internet không phải là dưới sự kiểm soát trực tiếp của công ty , vì vậy giải pháp thay thế là hãy sử dụng một nhà cung cấp dịch

vụ (ISP) tốt và chất lượng

Bảo mật cá nhân

Việc truy cập từ xa hay nhân viên kết nối với hệ thống văn phòng bằng máy tính riêng, nếu họ sử dụng các ứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì hacker có thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệ thống của công ty

KHÁI NIỆM

04

IPSEC – INTERNET PROTOCOL SECURITY

IPSec (Internet Protocol Security) là một giao thức được IETF phát triển IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.

IPSEC HỖ TRỢ 3 TÍNH NĂNG CHÍNH

IPSec

Tính xác nhận &

Tính nguyên vẹn dữ

liệu(Authentication &

data integrity)

Sự cẩn mật(Confidentialit

y)

Quản lý khóa(Key management)

CHẾ ĐỘ GIAO VẬN(TRANSPORT)

Chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa hoặc chứng thực IP header không bị chỉnh sửa hay mã hóa, nhưng khi chế độ Authentication header của IPSec được sử dụng thì địa chỉ IP cũng sẽ được mã hóa bằng cách chia nhỏ thành các gói tin riêng rẽ & độc lập (Hash) Các tầng giao vận & ứng dụng thường được bảo đảm bơi hàm Hash, vì vậy chúng không thể bị sửa đổi theo bất kỳ cách nào

Authenticated

Encrypted

Authenticated

Original Header

AH Header Payload

Original Header

ESP Header PayloadAH- kiểu Transport

ESP- kiểu Transport

BƯỚC 1: Kích hoạt lưu lượng cần bảo vệ

Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec Ở đây, các thiết bị IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ.

Discard

Bypass IPSecApply IPSec

BƯỚC 2: Thoả thuận một trao đổi IKE Phase 1

Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE policy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác IKE Phase

1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive mode)

BƯỚC 3: Thoả thuận một trao đổi IKE Phase 2

Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được sử dụng để bảo mật đường hầm IPSec

Negotiate IPSecsecurity parameters

BƯỚC 4: Đường hầm mật mã IPSec

Sau khi đã hoàn thành IKE Phase 2 đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn Quá trình xử

lý gói tin (mã hóa, mật mã, đóng gói) phụ thuộc vào các thông số được thiết lập của SA.

IPSec Session

BƯỚC 5: Kết thức đường hầm

Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn.

IPSec Session

Khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm Khi các SA kết thúc, các khoá cũng bị huỷ Lúc đó các IPSec SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase 1 mới Một hoả thuận thành công sẽ tạo ra các SA và khoá mới Các SA mới được thiết lập trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.

SA HẾT HẠN

YOU